Bösartiges JavaScript infiziert Websites

Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Die Sicherheitsanalysten von Trend Micro haben eine Reihe von mit einem JavaScript kompromittierter Websites entdeckt. Dieses JavaScript konnten die Sicherheitsforscher als JS_AGENT.AOEQ identifizieren. Wird das Script ausgeführt, so nutzt die Malware ein Defer-Attribut, das die Ausführung seiner Routine, also die Umleitung des Nutzers auf einige bösartige Websites, auf einen späteren Zeitpunkt verschiebt. Der Zweck dahinter besteht darin, Anwender nicht merken zu lassen, dass sie bereits infiziert sind. Außerdem wird dieses bösartige Script auf PHP-Servern gehostet. Besucht ein Nutzer eine infizierte Website, erhält er einen White Screen. Die Ansicht des Source Codes zeigt folgenden entstellten Code:



Eine Analyse ergab, dass der Code, der auf den meisten infizierten Sites vorhanden ist, mit /*GNUGPL*/try{window.onload=function(){var or /*CODE1*/ try{window.onload = function(){va beginnt. Laut Unmask Parasites Blog haben die Cyberkriminellen bestimmte Namen legitimer Sites einfügt, etwa Google, Bing und WordPress, um eine legitime URL vorzutäuschen.

Trend Micros Smart Protection Network schützt die Anwender vor diesem Angriff, indem das intelligente Netzwerk alle mit der Attacke in Verbindung stehenden bösartigen Domänen blockiert. Damit werden die Nutzer am Zugriff darauf gehindert. Zusätzlich empfiehlt es sich, die eigenen Systeme auf aktuellem Stand zu halten. Web Administratoren wiederum sollten ihre FTP-Zugangsdaten ändern.

Ein Gedanke zu „Bösartiges JavaScript infiziert Websites

  1. Pingback: siszyd32 -Seite 2 - www.computerschutz.net - Strategie statt Lethargie

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*